La Agencia Española de Protección de Datos ya está trabajando en la elaboración de su Plan Estratégico 2015-2019. La versión borrador del mismo ha estado sometida a consulta pública desde el 15 de octubre hasta el 30 de octubre, pues para la propia Agencia, la participación es un elemento esencial sin el cual no puede lograrse una protección efectiva del derecho fundamental a la protección de datos.

Hacemos un breve análisis de los aspectos del borrador del Plan Estratégico que consideramos de interés:

1. En el apartado ¿Por qué un Plan Estratégico? Nos quedamos con dos aspectos que menciona la Agencia y consideramos acertados:

1. "En un contexto en el que es necesario contribuir en la medida de lo posible a generar crecimiento económico y fomento del empleo, la salvaguardia de la protección de datos y la privacidad puede convertirse en un elemento diferenciador de valor añadido en los productos y servicios que se pongan en marcha".

2. "Las acciones correctoras tienen un innegable valor disuasorio, especialmente cuando se manifiestan en forma de sanciones (...),pero en términos de protección directa al ciudadano consideramos que resulta más eficaz disminuir los riesgos y prevenir infracciones"

2. Los cinco grandes ejes sobre los que se han de basar los objetivos que quiere alcanzar la Agencia:.

Publicado en Blog
Martes, 10 Marzo 2015 08:37

El Spam y los criterios de la AEPD (II)

Si en el post de la semana pasada hacíamos un repaso de los criterios seguidos, por la Agencia Española de Protección de Datos, para entender que no hay incumplimiento del artículo 21 de la LSSICE. Veamos ahora, algunos de los criterios seguidos por la Agencia, para sancionar por el envío de comunicaciones comerciales sin el consentimiento:

a. Por no incluir en cada comunicación comercial, una dirección de correo electrónico u otra dirección electrónica válida a través de la cual pueda ejercitarse, por su destinatario, el derecho de oposición a recibir nuevos mensajes por este medio. Además añade, en este caso la Agencia, que no puede entenderse, como pretende la representación del denunciado, que como la dirección de correo electrónica habilitada para atender las solicitudes de baja es la misma desde la que se efectuó el envío, no resulta necesario incluir dicha información en el contenido de las comunicaciones comerciales remitidas por ese medio. La inclusión de dicho procedimiento de oposición es una obligación del denunciado, pese a que se produzca una coincidencia entre la dirección de origen de los correos y la dirección electrónica habilitada para gestionar las bajas (1000 euros de sanción PS/00373/2014).

b. Porque la empresa denunciada, habiendo notificado a la parte denunciante que procedía la baja de sus datos de sus ficheros, envío hasta siete comunicaciones comerciales tras esa comunicación de baja (2300 euros de sanción PS/00524/2014).

c. En este caso, siendo publicidad por sms, el denunciante en ninguno de los mensajes presenta información relativa al modo de ejercicio del derecho de oposición, y además no fue capaz de demostrar tener el consentimiento del afectado (3900 euros de sanción PS/00578/2014).

De los diferentes criterios expuestos en ambos artículos, podríamos extraer las siguientes conclusiones:

Publicado en Blog
Lunes, 02 Marzo 2015 23:10

El Spam y los criterios de la AEPD (I)

Todos hemos recibido, en alguna ocasión y otras veces en más ocasiones de las deseadas, correos electrónicos publicitarios sin que hayamos dado nuestro consentimiento para ello. Es lo que conocemos como spam o correo basura.

El artículo 21 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSICE), regula las comunicaciones comerciales realizadas a través de correo electrónico, este artículo establece:
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

El bajo coste, sencillez y rapidez de este tipo de envíos publicitarios, a través de medios electrónicos, hace que muchas empresas incumplan reiteradamente con el precepto antes mencionado.

Esta práctica es denunciable ante la Agencia Española de Protección de Datos, puesto que tiene competencia sancionadora, a este respecto, tal y como establece el artículo 43.1 párrafo segundo de la LSSICE (…) Igualmente, corresponderá a la Agencia de Protección de Datos la imposición de sanciones por la comisión de las infracciones tipificadas en los artículos 38.3 c), d) e i) y 38.4 d), g) y h) de esta Ley.

Hemos revisado algunas de las resoluciones dictadas por la AEPD, para poder extraer algunos de los criterios que la AEPD está siguiendo para sancionar o archivar las denuncias realizadas por usuarios afectados, que han recibido informaciones publicitarias no deseadas.

El archivo de actuaciones: en todas estas resoluciones la AEPD, determinó que no había incumplimiento del artículo 21 de la LSSICE, siguiendo los siguientes criterios:

Publicado en Blog
Jueves, 19 Febrero 2015 17:25

El uso de cookies en Europa

Cookie: pequeña información enviada por un sitio web y almacenada en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del usuario. Dentro de sus funciones las principales son: llevar el control de usuarios del sitio web, así como conseguir información sobre los hábitos de navegación del usuario.

Esta misma semana, la Agencia Española de Protección de Datos (en adelante AEPD) hacía públicos los resultados del primer análisis coordinado, con otras Autoridades europeas, sobre el uso de cookies en Europa.

El objetivo del estudio era analizar las páginas webs más visitadas por los ciudadanos europeos, con el fin de obtener una visión internacional y global sobre las condiciones en las que se instalan las cookies en los ordenadores de los usuarios. Siempre fomentando el cumplimiento de la protección de datos, así como el máximo respeto a la privacidad de los datos de carácter personal por parte de los responsables, todo ello con una clara orientación hacia la concienciación por parte de los usuarios. 

Siete Autoridades competentes en privacidad y telecomunicaciones: Dinamarca, Eslovenia, Francia, Grecia, Países Bajos, Reino Unido y República Checa, junto con la AEPD han examinado un total de 478 sitios webs, seleccionados de entre las 250 páginas webs más visitadas en cada uno de los países. Todas ellas pertenecían  básicamente a tres sectores, en concreto: comercio electrónico, medios de comunicación y servicios públicos. 

Publicado en Blog

Hace escasos días se hablaba en los medios de que “las autoridades europeas de protección de datos se ponen duros con Facebook sobre su nueva política de privacidad”. Según publicó el diario The Register, el Grupo de Trabajo del Artículo 29 ha creado un grupo de trabajo especial para investigar los nuevos términos y condiciones de privacidad de datos de la red social.

A las autoridades europeas de protección de datos les preocupa que la unión de muchos servicios diferentes ofrecidos por Facebook puedan violar las leyes de privacidad de la UE.

Así anunciaba Facebook, a finales de 2014, la modificación de su política de privacidad: “A partir del 30.01.2015, al utilizar nuestros servicios, estarás aceptando nuestras condiciones, nuestra política de datos y nuestra política sobre cookies actualizadas; también estarás mostrando tu acuerdo con que te mostremos anuncios mejorados basados en las aplicaciones y los sitios que utilices”.

Adelantamos, que las modificaciones introducidas por la red social, no afectarán a las restricciones de privacidad que los usuarios tengamos ya configuradas, es decir, que según Facebook, seguimos siendo propietarios del contenido e información que publicamos en la red y podemos controlar cómo compartimos la misma a través de la configuración nuestra privacidad.

¿Cuáles han sido entonces los cambios fundamentales? Los principales cambios de la “normativa “de Facebook afectan sobre todo:

Publicado en Blog
Miércoles, 11 Febrero 2015 10:37

Las transferencias internacionales de datos

La normativa española de protección de datos define las transferencias internacionales de datos en el art. 5.1.s) LO 15/1999 como un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.

Para realizar transferencias internacionales de datos, será necesaria la Autorización previa del Director de la Agencia Española de Protección de Datos, salvo que se ampare en alguno de los supuestos de excepción previstos en los apartados a) a j) del artículo 34 de la LOPD o cuando el Estado en el que se encuentre el importador ofrezca un nivel adecuado de protección.

Así la normativa prohíbe  que se realicen transferencias temporales o definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas. 

Publicado en Blog

La semana pasada se confirmaba que el gigante Google, modificará su política de privacidad para garantizar el derecho a la protección de datos de los ciudadanos europeos.

La decisión de Google viene motivada tras las investigaciones realizadas por el ICO, (Information Commissioner's Office), órgano regulador que vela por el derecho a la información y la privacidad de los ciudadanos del Reino Unido.

Google ha adquirido un compromiso, en firme, y así lo ha formalizado por escrito ante el ICO, para que la futura política de privacidad del gigante prevista para el 30 de junio de este mismo año, se ajuste a las exigencias del órgano regulador.

Como el propio Steve Eckersley, Responsable de Cumplimiento en el ICO ha manifestado: "este compromiso llega tras varios años de investigación y un extenso diálogo". Conversaciones que comenzaron allá por el 2012, cuando Google a pesar de ya haber realizado cambios en su política de privacidad, muchos organismos europeos se quejaron de que la misma seguía sin ser del todo clara, en especial con respecto a el desarrollo de nuevos servicios y la potencial cesión de datos a través de los servicios.

Destacamos algunos de los aspectos que se recogen en el compromiso firmado con la ICO, y que nos parecen interesantes resaltar. En un futuro cercano podremos comprobar si, efectivamente, Google materializa y cómo lo hace para lleva a cabo los cambios a los que se ha comprometido.(Texto completo en ICO ruled).

Publicado en Blog

La contratación y prestación de servicios supone en muchos casos facilitar a un tercero acceso a la información y activos de nuestra empresa.

Para protegernos frente a los riesgos, existe un extenso marco legal y normativo destinado a defender los intereses del cliente y del proveedor, además de ciertas recomendaciones que conviene seguir.

Con los acuerdos y contratos se sientan las bases de la relación comercial entre ambos, tanto en los elementos relacionados con la gestión de la información y el propio servicio: niveles de calidad esperados, cómo se debe tratar la información que se maneje durante la prestación del servicio, datos personales, etc., como en otros de diferente naturaleza: penalizaciones, facturación y plazos de pago, garantías, etc.

Publicado en Blog

Desde el marco legal establecido en la LOPD el uso de datos publicados en redes sociales por los usuarios con finalidad de prospección comercial y marketing –en el sentido del art. 30 LOPD-, no se considera autorizado por el mero hecho de haberlos publicados en las mismas, sin importar si se han hecho de forma privada, restringida o totalmente pública, ya que al establecer el número de fuentes de las que se pueden tratar datos personales sin consentimiento del afectado se optó por un sistema de numerus clausus, por tanto, si no se encuentra contenido en esa catalogación se encuentra excluido, dicho razonamiento se encuentra contenido en el art. 6.2 LOPD:

"No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado."

Publicado en Blog

EL pasado viernes, a través de un comunicado de prensa en la página web oficial del Poder Judicial, se hacía público que la Audiencia Nacional establece los criterios para conocer el “derecho al olvido”.

La sala de lo Contencioso-Administrativo ha dictado 18 sentencias, de las cuales en 14 se desestima los recursos de Google, reconociendo el derecho a la protección de datos de los particulares.

Los criterios sobre los que se fundamenta la Sala de la Audiencia Nacional, derivan de la aplicación de la doctrina establecida en Luxemburgo, la  conocida sentencia  del “derecho al olvido” , dictada en mayo de 2014 por el Tribunal de Justicia de la Unión Europea que resolvía una cuestión prejudicial planteada por la propia AN a la Gran Sala.

Como ya consideró en su momento la Agencia Española de Protección de Datos, el  TJUE ratificó el criterio y ahora de nuevo la AN hace uso de ello: tanto Google Spain SL como a Google Inc, están dentro del ámbito de aplicación de las leyes europeas, y por tanto deben cumplir la normativa en materia de protección de datos. (Art.4.1 letra a) de la Directiva 95/46).

El TJUE determinó que el gestor de un motor de búsqueda en internet es responsable del tratamiento que aplique a los datos de carácter personal que aparecen en las páginas web publicadas por tercero y, por tanto, debe respetar la directiva comunitaria sobre protección de datos, pese a que la publicación en dichas páginas hubiera sido en sí misma lícita.

Volviendo a los criterios, analizamos ahora algunos de los que, según la Audiencia Nacional, se deberán seguir para poder ejercitar el “derecho al olvido”:

Publicado en Blog
Página 6 de 8

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal